Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

EQSecure HIPS, mini-tuto en capture

horus agressor

Par horus agressor
dans Sécurisation, prévention

 Partager

Messages recommandés

gtaillandier Junior Member

gtaillandier

Posté(e)
Posté(e)

Bonjour

 

Sacles, j'espère que la réponse de horus agressor a éclairé ta lanterne ( comme tu l'écris ).

 

Plus simplement, EQSecure peut te prévenir si un programme ( spyware en général ) tente de modifier un fichier. J'ai déjà eu des spywares qui essayaient de "bricoler" winlogon.exe Heureusement, SSM affichait un message ( injection de dll, je crois ).

 

La version que j'avais venait de giveawayoftheday : version payant offerte mais maj du pgme limitée jusqu'à une certaine date.

 

J'ai changé SSM car il me disait systématiquement que ma licence était expirée.

 

Pour revenir à mon problème, EQsecure se refuse de fonctionner sur un compte limité. Je ne pense pas que cela soit génant, car un utilisateur limité ne peut pas installer de programme, en théorie.

  • 3 semaines après...

oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Merci Horus, j'adore quand tu prends les risques à notre place en installant de nouveaux HIPS!!

Il faut impérativement effectuer plusieurs reboot en learning mode sous peine de ne pas pouvoir redémarrer, j'en ai fait l'expérience hier malgré plusieurs années d'utilisation de Process Guard...

 

Trois questions:

 

1-pouvons-nous suivre le tuto de PG de Mégataupe pour effectuer des réglages plus fins?? (en toute logique, j'imagine que oui...).

 

PG (et SSM me semble-t-il) permettait de régler simplement chaque processus autour de 2 axes: d'un coté,ce que le processus est AUTORISE à faire (tuer, lire, installer des hooks ou drivers...), et de l'autre de quels actions le processus est PROTEGE (protégé de la lecture, de l'écriture ou de la "termination").

 

Ainsi on pouvait autoriser, par exemple, un antivirus à lire d'autres processus,en ne l'autorisant pas à tuer des processus, tout en le protégeant de la termination.Par contre, le gestionnaire des taches avait, lui, le droit de tuer l'antivirus.

 

Or, je ne retouve pas clairement ces deux volets dans EQSecure, qui semble n'avoir qu'une fenêtre "block" (c'est à dire?? Est-ce le processus qui est protégé de certaines actions, ou bien est-ce le processus qui est bloqué dans certaines actions??Je ne suis pas sur d'être très clair!!)

 

A titre d'exemple , comment régler l'antivirus pour que:

 

-il puisse s'éxécuter et lire.

-il soit protégé de toute modification et termination (lui et tous les logs de sécurité d'ailleurs...)

 

197289921520070910122924.jpg

 

 

Dans la même veine, comment régler le gestionnaire des taches de façon que:

 

-le gestionnaire Windows soit inutilisable!

-que Process Explorer puisse installer son driver

-que Process Explorer puisse terminer tout processus...

-...sans qu'il ne puisse être lui-même terminer ou modifier par quelque log que ce soit.

 

183003535320070910123513.jpg

 

De plus: comment paramétrer services.exe pour l'empêcher d'installer un service sans notre autorisation? (équivalent de la fonction "non autoriser à installer un service" de PG?)

 

Et enfin: quels réglages appliqués aux .exe de EQSecure pour le protéger complétement de toute modif ou termination (PG le faisait par défaut, de mémoire)

 

Désolé de raisonner encore en mode "Process Guard", mais je pense que c'est un passage obligé quand on a été elevé au biberon Diamondcs! Et même si les réglages par défaut et les fenêtres d'alertes semblent efficaces,j'aimerai pouvoir régler chaque processus très précisément comme avec PG (qui va beaucoup me manquer!!)

 

 

Par ailleurs:

 

2- la fonction de protection du registre permet-elle de se passer de Registry Prot ??(http://assiste.com.free.fr/p/logitheque/registryprot.php )

 

3-EQ Secure permet-il, comme PG, de bloquer les injections de dll ?? Je n'ai rien vu de tel dans les réglages fins.

 

4- Existe-til une option permettant de régler TOUS les processus d'un coup pour qu'ils soient vérifié par le MD5?

 

5-A quoi sert la Blacklist??A lister par exemple des services ou processus connus comme étant néfastes, pour en faire en quelque sorte un host des processus??

 

Un log très prometteur en tout cas, le premier qui m'a donné envie de me passer de ProcessGuard (en espérant secrètement que Diamondcs reprennen un jour du service...)

 

PS: quid d'une éventuelle trad' en français??

Modifié par ogu
Xerta Power Member

Xerta

Posté(e)
Posté(e)

Citation:

 

"2- la fonction de protection du registre permet-elle de se passer de Registry Prot ??(http://assiste.com.free.fr/p/logitheque/registryprot.php )

 

3-EQ Secure permet-il, comme PG, de bloquer les injections de dll ?? Je n'ai rien vu de tel dans les réglages fins."

 

Pour savoir si EQ Secure prend en compte l'injection de dll où la protection du registre, il devrait être possible de le tester avec certaines catégories de Leak Tests qui comportent ce type d'attaque.

 

Les leak tests classés sont classés catégories, voir :

 

http://www.firewallleaktester.com/categories.htm

 

Un programme de contrôle d'applications comme EQ Secure doit pouvoir être testé avec les catégories de leak tests LAUNCHER (lanceurs), DLL INJECTION, PROCESS INJECTION, REGISTRY INJECTION.

 

Egalement disponible le Test de trojan Zapass :

 

http://assiste.com.free.fr/p/leak_test/leak_test_zapass.php

 

ET PCAudit Leak Test 6.3 :

 

http://www.softpedia.com/get/Security/Fire...Leak-Test.shtml

 

Ce leak test effectue une injection de DLLs dans c/Windows/system32 pour arriver à ses fins (connexion sortante non signalée par le firewall comportant la capture et la transmission de données confidentielle du PC).

 

Registry Prot est petit un programme qui ne signale que des modifications très importantes du registre. Il ne pourrait pas prendre en compte les actions du leak test Jumper qui exécute notamment une inscription à l'entrée de la BDR et une modification de la page de démarrage d'Internet Explorer.

  • 2 semaines après...
horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e)

Salut Ogu !

 

Désolé pour le retard, vacances obligent...

Il faut impérativement effectuer plusieurs reboot en learning mode sous peine de ne pas pouvoir redémarrer, j'en ai fait l'expérience hier malgré plusieurs années d'utilisation de Process Guard...
:P Faut te décrasser la tête mon cher, et oublier PG :P mais je comprends tes interrogations, je suis aussi passé par là :P

 

Ne pas trop suivre le tuto de Megataupe concernant PG...EQS est d'une autre trempe, l'onglet "Block Operations" est un mélange, peut être pas très habile, de "Autorisé" et "Protégé" sous PG et sous SSM...Et, en plus, si tu ne cause pas english, t'es assez mal barré avec EQS.

 

Je peux tuer mon antivirus via Process Explorer, sachant que Process Explorer remplace chez moi le Task Manager très fragile de Windows XP...Mon antivirus (Avira Antivir PersonnalClassic Edition) n'est pas protégé du "tuage" par Process Explorer, et c'est tant mieux parce pouvoir tuer soit-même un processus récalcitrant peut être très utile..., mais sachant qu'une vérole cherchera à tuer un processus via le Task Manager, je ne vois pas l'inquiétude à avoir, puisque, chez toi comme chez moi, "ton" Process Explorer remplace "ton" Task Manager (voir > Mini Tuto Process Explorer http://forum.zebulon.fr/index.php?showtopic=92628 ) Mes réglages : 17f9f0ebb0a632c4b873a086d2b0bfb2.th.jpg et 7cecd7cbc24a375d9aa10f470f8058fb.th.jpg , passe par Add Process au cas où tu voudrais rajouter un processus : c59dd367edc188e6b73f7959cc985bb9.th.jpg.

A titre d'exemple , comment régler l'antivirus pour que:

 

-il puisse s'éxécuter et lire.

-il soit protégé de toute modification et termination (lui et tous les logs de sécurité d'ailleurs...)

Mes réglages sont par défaut...Idem pour mon parefeu. En cas de modif (suite màj par exemple, ou pire, suite modif externe et non voulue, des questions me seront inévitablement posées, le tout est de bien lire les boîtes de dialogues et de ne pas cliquer n'importe quoi...Un HIPS n'est pas simple du tout pour un débutant...Mieux vaudrait passer par exemple par DSA (Dynamic Security Agent, gratuit) ou par un HIPS comme celui du le parefeu Sunbelt Pro (payant) : 4be0c082a0b4a78fe9d1bf228d237ecf.th.jpg
-le gestionnaire Windows soit inutilisable!

-que Process Explorer puisse installer son driver

-que Process Explorer puisse terminer tout processus...

-...sans qu'il ne puisse être lui-même terminer ou modifier par quelque log que ce soit.

Je t'ai répondu plus haut...Remplacer le Task Manager de Windows par Process Explorer rend Task Manager de Windows stérile...
De plus: comment paramétrer services.exe pour l'empêcher d'installer un service sans notre autorisation? (équivalent de la fonction "non autoriser à installer un service" de PG?)
Chez moi, 4fd559f5184e4d12a4e58d64bd1167f1.th.jpg, par défaut sauf pour Services et Drivers ou la boîte de dialogue s'affiche durant 15s puis bloque la demande en cas de non réponse...
Et enfin: quels réglages appliqués aux .exe de EQSecure pour le protéger complétement de toute modif ou termination (PG le faisait par défaut, de mémoire)
...J'ai laissé par défaut...
2- la fonction de protection du registre permet-elle de se passer de Registry Prot ??(http://assiste.com.free.fr/p/logitheque/registryprot.php )
...A mon avis oui, mais "dans le doute, abstiens-toi" comme dit le proverbe, donc garde Registry Prot. La dernière fois que j'ai bricolé la fonction Protection du Registre offerte par EQS, j'ai eu un écran bleu de la mort qui tue, et j'ai du passer par le mode sans échec pour m'en sortir...Mieux vaut donc tout laisser par défaut !
3-EQ Secure permet-il, comme PG, de bloquer les injections de dll ?? Je n'ai rien vu de tel dans les réglages fins.
Voir b16814c1ada50543beccd10130aa22e2.th.jpg..."Ignore", en cas de doute, "Allow" pour des log comme Firefox, Thunderbird, Photoshop, XnView, antivirus, anti-spy, média (Media Player Classic, iTunes,...) et "Block" pour des log comme Nero...J'ai dû pas mal bricoler pour savoir à quel log autoriser le chargement des *.dll, je l'admets, pas de solution magique à proposer à ce sujet. "Ignore" te balancera une chiée de boîte de dialogue pour certains log...A toi de voir...Un blocage provoque un non-fonctionnement dudit log...Mais des log comme Photoshop ou Nero sont, chez moi, bloqué via le parefeu...
4- Existe-til une option permettant de régler TOUS les processus d'un coup pour qu'ils soient vérifié par le MD5?
Pas à ma connaissance, il faut décocher e0e99db5ed99bc723fbef00e821fa820.th.jpg au cas par cas...Courage, mais je suis passé par là...
5-A quoi sert la Blacklist??A lister par exemple des services ou processus connus comme étant néfastes, pour en faire en quelque sorte un host des processus??
:P Amuse-toi avec et tient nous au courant ? :P

 

Amicalement.

horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Màj de EQSysSecure disponible, on passe donc de la v3.4 à la 3.41. Pas de changelog disponible par contre, à part en chinois :P

 

Pour la télécharger chez l'éditeur (chinois) : 2007.9.23: EQSecure 2007 V3.41

http://www.eqsecure.com/eqsyswatch/index.htm#Update => Voir capture pour le téléchargement, en bas de la page, cliquer sur a45214b2897643d858f2f375b0f28864.th.jpg

 

/!\ Il faut désinstaller l'ancienne version avant d'installer la nouvelle. Si vous omettez de le faire, une boîte de dialogue vous invitera à le faire !

 

En début d'installation, ne pas s'effrayer de la première boîte de dialogue qui apparaîtra ! : 27b37fef416434af9d5f8c018ae3cb03.th.jpg , choisir English (eh oui, toujours pas de traduction en français...) puis cliquer sur 2b849b85794ce1fdeffab19e592f7052.th.jpg et c'est partit...

 

/!\ Il faudra refaire tous les réglages un part un suite à l'installation de la nouvelle version :P Mais quand on aime, en ne compte pas, n'est-ce pas ? :P A vous de voir si, par paresse ou manque de temps, vous préférez conserver la v3.4...Je suis incapable de vous dire ce que la v3.41 apporte concrètement de mieux par rapport à la précédente...La v3.41 doit certainement corriger quelques bugs...Et j'ai remarqué un réglage de plus disponible dans Application Protection, Settings, Application Rules, Default Group : 3e44e7503a97b6613641fab778cc551b.th.jpg

 

Un conseil avec EQSysSecure : si on ne sait pas de quoi il s'agit exactement, mettre "Ignore" ! J'ai testé quelques réglages que je croyais être "malin", eh be j'ai du m'en sortir via le mode sans échec :P

 

Donc rester très prudent quand aux réglages que l'on effectue !!

 

Amicalement.

oGu Godlike Member

oGu

Posté(e)
Posté(e)

Merci de tes réponses Horus, c'est toujours un plaisir de te lire!!

 

J'ai laissé tombé EQSecure qui me paraissait trop hermétique et je suis passé à ProSecurity qui me surprend chaque jour par sa puissance, et qui est bien plus simple à appréhender dans ses réglages pour qui a été élevé au biberon DiamondCS...

 

je viens d'ailleurs tout juste de le tester avec Advanced Process Termination, et il a passé quasi tout les tests, dès que j'aurais fignolé les réglages ce sera imppec'!

 

Je me rappelle que PG ne passait pas tous les tests de APT...

horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e)
Merci de tes réponses Horus, c'est toujours un plaisir de te lire!!

 

J'ai laissé tombé EQSecure qui me paraissait trop hermétique et je suis passé à ProSecurity qui me surprend chaque jour par sa puissance, et qui est bien plus simple à appréhender dans ses réglages pour qui a été élevé au biberon DiamondCS...

 

je viens d'ailleurs tout juste de le tester avec Advanced Process Termination, et il a passé quasi tout les tests, dès que j'aurais fignolé les réglages ce sera imppec'!

 

Je me rappelle que PG ne passait pas tous les tests de APT...

Salut !

 

J'admets en voir des vertes et des pas mûrs parfois avec EQS...Mais je le garde pour le moment, même si j'ai une version à vie de Pro Security, j'y reviendrais certainement...Je l'avais tellement bricolé, que je n'arrivais plus à désinstaller un log et ça m'avait gavé grave, et j'avais aussi envie de tester d'autre HIPS...

 

SSM est dans la même veine que Pro Security et donc que Process Guard, ce dernier étant devenu obsolète...Leur nouveau site, c'est comme cacher la merde du chat sous le tapis, c'est même trompeur à la limite du frauduleux. Le numéro de version n'apparaît plus, parce que le produit n'évolue plus ! Voir http://www.diamondcs.com.au/index.php et je viens de remarquer ProcessGuard v3.2 released! http://www.diamondcs.com.au/index.php , ça craint, la dernière version est la 3.4 :P

 

Amicalement.

  • 4 semaines après...
horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e)

Bonjour !

Remarque concernant EQSecure (contrôleur d'intégrité ou HIPS) : j'ai remarqué que je devais le mettre en mode "learning" lors des màj d'Antivir...EQSecure est très mais alors très réactif au moindre changement...Idem lors des màj de mes autres log (Firefox, Thunderbird, Process Explorer et autres), et j'ai remarqué également que je dois effacer mes réglages précédents et les refaire une fois une màj de log effectuée, mais c'est vite fait une fois le coup de main pris et ses propres réglages mémorisés...

Je ne vois pas pourquoi je ne recommanderais pas cette méthode pour des HIPS comme System Safety Monitor(SSM) ou ProSecurity :P Ils sont beaucoup, mais alors beaucoup plus fin que l'ex-excellent ProcessGuard (le site a été mis à jour, du pipo, il ferait mieux de mettre leur log à jour ! http://www.diamondcs.com.au/index.php Process Guard appartient à un lointain passé maintenant vu l'évolution constante et très rapide des menaces).

(repris de mon dernier post dans http://forum.zebulon.fr/index.php?showtopi...3053&st=180 )

 

Les HIPS (Contrôleur d'Intégrité) EQS free, SSM payant et ProSecurity payant, même combat, les 3 log précédents évoluent bien et réagissent bien face au nouvelles menaces quasi exponentielles et non forcément détectées par des logs "classiques" (antivirus-trojan et antispy entre autre, payants ou gratuits).

Je suis d'avis que dès qu'un log arrête d'évoluer, et donc de s'adapter aux menaces, il faut en changer assez rapidement, parce qu'en 4 ans sous Windows XP, j'ai appris que le log parfait-qui-fait-tout n'existe pas :P

 

Amicalement.

Sacles Godlike Member

Sacles

Posté(e)
Posté(e) (modifié)

Bonjour,

 

 

Il existe une version gratuite pour chacun de ces deux HIPS.

 

Comparatifs entre les versions gratuites et payantes:

Ces comparatifs montrent de nouveau qu'il ne faut évidemment pas croire que la version gratuite est aussi performante que la payante. C'est vrai pour d'autres logiciels.

 

Salut.

Modifié par Sacles

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...